Rafael Dantas Justo

Engenheiro de Software

DNS Reverso
NIC.br

DNS?

John

John

Paul

John (1)

Paul (2)

George (3)

John (1)

Paul (2)

George (3)

Ringo (4)

John (1) (5)

(8) (7) (6)

Paul (2)

George (3)

Ringo (4)

John (1) (5)

(8) (7) (6)

Paul (2)

George (3)

Ringo (4)

John (1) (5)

?
(8) (6)

Paul (2) (7)

George (3)

Ringo (4)

hosts.txt

Paul?

John (1)

hosts.txt

Paul?

John (1)

hosts.txt

Paul?

John (1)

2 Aqui est!

hosts.txt

Paul (2)

Paul? John (200.160.3.2)

200.160.3.3

Aqui est!

hosts.txt

Eu
Paul (200.160.3.3)

Ol so ! u o DN

hosts.txt

Atualize! Paul?

Remova John! Atualize Ringo!

hosts.txt Remova! Adicione George!

Busque!

John Paul George Ringo

John.beatles.br. Paul.beatles.br. George.beatles.br. Ringo.beatles.br.

.
br beatles

John

Paul

George

Ringo

.
br beatles

Arquivos de zona!

John

Paul

George

Ringo

Adicione sinatra!

.
br beatles Remova John! Atualize Ringo!

sinatra

John X

Paul

George

Ringo

E quanto a busca?

.
br beatles

John

Paul

George

Ringo

Paul.beatles.br.?

.
br beatles

John

Paul

George

Ringo

Paul.beatles.br.?

.
br beatles

Eu no sei. Mas pergunte para br!

John

Paul

George

Ringo

.
br
Paul.beatles.br.?

beatles

Eu no sei. Mas pergunte para beatles!

John

Paul

George

Ringo

.
br beatles
Paul.beatles.br.?

Eu no sei. Mas pergunte para Paul!

John

Paul

George

Ringo

.
br 200.160.3.3 beatles

John
Paul.beatles.br.?

Paul

George

Ringo

Arquivo de zona Verso do arquivo Nome -> IP IP -> Nome Endereo do servidor DNS Endereo do servidor de e-mail Etc.

Arquivo de zona Resource record

Nome Classe Tipo Dados

Arquivo de zona Resource record

Nome Classe Tipo Dados

Exemplos: beatles.br. paul.beatles.br.

Arquivo de zona Resource record

Nome Classe Tipo Dados

IN: Internet CH: Chaos HS: Hesiod

Arquivo de zona Resource record

Nome SOA: A: AAAA: PTR: NS: MX: ... Classe Tipo Dados

Verso do arquivo Nome -> IPv4 Nome -> IPv6 IP -> Nome Endereo servidor DNS Endereo servidor E-mail

Arquivo de zona Resource record

Nome Classe Tipo Dados

...

Arquivo de zona
beatles.br. 86400 IN SOA 2012100200 ; 1800 ; 900 ; 604800 ; 900 ) ; beatles.br. ns1.beatles.br. john.beatles.br. paul.beatles.br. george.beatles.br. ringo.beatles.br. ns1.beatles.br. email.beatles.br. ( version refresh (30 minutes) retry (15 minutes) expire (1 week) minimum (15 minutes)

86400 IN NS ns1.beatles.br. 86400 IN A 54.232.122.213 86400 86400 86400 86400 IN IN IN IN NS NS NS NS ns1.john.beatles.br. ns1.paul.beatles.br. ns1.george.beatles.br. ns1.ringo.beatles.br.

Arquivo de zona
beatles.br. 86400 IN SOA 2012100200 ; 1800 ; 900 ; 604800 ; 900 ) ; beatles.br. ns1.beatles.br. ns1.beatles.br. email.beatles.br. ( version refresh (30 minutes) retry (15 minutes) expire (1 week) minimum (15 minutes)

Faltando Glue Records!

86400 86400 86400 86400 IN IN IN IN NS NS NS NS ns1.john.beatles.br. ns1.paul.beatles.br. ns1.george.beatles.br. ns1.ringo.beatles.br.

86400 IN NS ns1.beatles.br. 86400 IN A 54.232.122.213

john.beatles.br. paul.beatles.br. george.beatles.br. ringo.beatles.br.

.
br beatles
Paul.beatles.br.?

John

Paul

George

Ringo

.
br beatles
ns1.paul.beatles.br.

Eu no sei. Mas pergunte para Paul!

John

Paul

George

Ringo

.
br beatles
ns1.paul.beatles.br.?

John

Paul

George

Ringo

.
br beatles
ns1.paul.beatles.br.

Eu no sei. Mas pergunte para Paul!

John

Paul

George

Ringo

.
Loop eterno! br beatles
ns1.paul.beatles.br.

Eu no sei. Mas pergunte para Paul!

John

Paul

George

Ringo

Arquivo de zona

... john.beatles.br. ns1.john.beatles.br. paul.beatles.br. ns1.paul.beatles.br. 86400 IN NS ns1.john.beatles.br. 86400 IN A 200.160.3.4 86400 IN NS ns1.paul.beatles.br. 86400 IN A 200.160.3.3

george.beatles.br. 86400 IN NS ns1.george.beatles.br. ns1.george.beatles.br. 86400 IN A 200.160.3.5 ringo.beatles.br. ns1.ringo.beatles.br. 86400 IN NS ns1.ringo.beatles.br. 86400 IN A 200.160.3.6

.
br beatles
ns1.paul.beatles.br.

Eu no sei. Mas pergunte para Paul!

John

Paul

George

Ringo

.
br beatles
ns1.paul.beatles.br. 200.160.3.3

Eu no sei. Mas pergunte para Paul!

John

Paul

George

Ringo

.
br beatles

John

Paul

George

Ringo

.
br beatles

Servidores DNS Autoritativos!

John

Paul

George

Ringo

.
br

Servidores DNS Autoritativos!

X
John Paul

beatles

George

Ringo

Servidores DNS Autoritativos!

Adicione! Atualize! Remova!

AXFR/IXFR

Master

Slave

Slave

Slave

.
br beatles

Servidores DNS Autoritativos!

John

Paul

George

Ringo

.
br beatles

Servidores DNS Autoritativos!

John

Paul

George

Ringo

Paul.beatles.br.?

.
br beatles

John

Paul

George

Ringo

Paul.beatles.br.?

.
br beatles

Busque!

Busque!

Busque!

John

Paul

George

Ringo

.
br

beatles

John

Paul

George

Ringo

.
ISP beatles.br.?
John Paul George Ringo br

beatles

.
beatles.br.? ISP
br

beatles

John

Paul

George

Ringo

.
beatles.br.? ISP
br

Por qu?
John

beatles

Paul

George

Ringo

.
200.160.3.1 ISP Lembre por 86400s
John br

beatles

Paul

George

Ringo

Servidor DNS Recursivo! 200.160.3.1 ISP TTL 86400s

John

.
br

beatles

Cache

beatles.br. 200.160.3.1

Paul

George

Ringo

DNS Reverso

DNS Reverso

IP -> Nome (record PTR) Diagnstico Validao de e-mail

200.160.0.1

200.160.0.1

1.0.160.200.in-addr.arpa.

.
com arpa in-addr br

177

179

200 160

201

.
com arpa in-addr br

177

179

200 160

201

200.160.0/24 200.160.1/24 200.160.2/24 200.160.3/24

200.160.4/24

200.160.5/24 200.160.6/24 200.160.7/24

200.160.8/24 200.160.9/24 200.160.10/24 200.160.11/24

200.160.12/24 200.160.13/24 200.160.14/24 200.160.15/24

Arquivo de zona 200.160.X/24

[onde X varia de 0 a 15]

$ORIGIN X.160.200.in-addr.arpa. $TTL 86400 @ IN SOA ns1.beatles.br. email.beatles.br. ( 2013120500 ; version 1800 ; refresh (30 minutes) 900 ; retry (15 minutes) 604800 ; expire (1 week) 900 ) ; minimum (15 minutes) IN NS ns1.beatles.br. IN NS ns2.beatles.br.

200.160.0/24 200.160.1/24 200.160.2/24 200.160.3/24

200.160.4/24

200.160.5/24 200.160.6/24 200.160.7/24

200.160.8/24 200.160.9/24 200.160.10/24 200.160.11/24

200.160.12/24 200.160.13/24 200.160.14/24 200.160.15/24

Arquivo de zona 200.160.1/24

$ORIGIN 1.160.200.in-addr.arpa. $TTL 86400 @ IN SOA ns1.beatles.br. email.beatles.br. ( 2013120500 ; version 1800 ; refresh (30 minutes) 900 ; retry (15 minutes) 604800 ; expire (1 week) 900 ) ; minimum (15 minutes) NS ns1.beatles.br. NS ns2.beatles.br. PTR dhcp-1-cliente.beatles.br. PTR dhcp-2-cliente.beatles.br. PTR dhcp-3-cliente.beatles.br.

IN IN 1 IN ... IN 254 IN

Arquivo de zona 200.160.1/24

$ORIGIN 1.160.200.in-addr.arpa. $TTL 86400 @ IN SOA ns1.beatles.br. email.beatles.br. ( 2013120500 ; version 1800 ; refresh (30 minutes) 900 ; retry (15 minutes) 604800 ; expire (1 week) 900 ) ; minimum (15 minutes) IN NS ns1.beatles.br. IN NS ns2.beatles.br. $GENERATE 1-254 $ IN PTR dhcp-$-cliente.beatles.br. ; Apenas no BIND

Regras IPv4
Delegaes somente at o /24 Designaes de blocos menores que /24 devem ter uma delegao cobrindo Designaes at o /24 subdividem a delegao

200.160.0/20

ns*.beatles.br.

200.160.0/20

ns*.beatles.br.

200.160.10/24

ns*.paul.beatles.br.

200.160.0/24 200.160.1/24 200.160.2/24 200.160.3/24

200.160.4/24

200.160.5/24 200.160.6/24 200.160.7/24

200.160.8/24 200.160.9/24 200.160.10/24 200.160.11/24

200.160.12/24 200.160.13/24 200.160.14/24 200.160.15/24

200.160.0/24 200.160.1/24 200.160.2/24 200.160.3/24

200.160.4/24

200.160.5/24 200.160.6/24 200.160.7/24

200.160.8/24 200.160.9/24 200.160.10/24 200.160.11/24

200.160.12/24 200.160.13/24 200.160.14/24 200.160.15/24

Arquivo de zona 200.160.10/24

$ORIGIN 10.160.200.in-addr.arpa. $TTL 86400 @ IN SOA ns1.paul.beatles.br. email.paul.beatles.br. ( 2013120500 ; version 1800 ; refresh (30 minutes) 900 ; retry (15 minutes) 604800 ; expire (1 week) 900 ) ; minimum (15 minutes) IN NS ns1.paul.beatles.br. IN NS ns2.paul.beatles.br. IN PTR paul.beatles.br.

16

200.160/20

ns*.beatles.br.

200.160.10/24

ns*.paul.beatles.br.

200.160/20

ns*.beatles.br.

200.160.10/24

ns*.paul.beatles.br.

200.160.10.0/28 ns*.cliente.exemplo.com.br.

Arquivo de zona 200.160.10/24

$ORIGIN 10.160.200.in-addr.arpa. $TTL 86400 @ IN SOA ns1.paul.beatles.br. email.paul.beatles.br. ( 2013120500 ; version 1800 ; refresh (30 minutes) 900 ; retry (15 minutes) 604800 ; expire (1 week) 900 ) ; minimum (15 minutes) IN NS ns1.paul.beatles.br. IN NS ns2.paul.beatles.br. IN PTR paul.beatles.br.

16

Arquivo de zona 200.160.10/24

$ORIGIN 10.160.200.in-addr.arpa. $TTL 86400 @ IN SOA ... NS NS NS NS CNAME ns1.paul.beatles.br. ns2.paul.beatles.br. ns1.cliente.exemplo.com.br. ns2.cliente.exemplo.com.br. 1.0/28

IN IN 0/28 IN 0/28 IN 1 IN ... 14 IN 16 IN

RFC 2317

CNAME 14.0/28 PTR paul.beatles.br.

Arquivo de zona 200.160.10/24

$ORIGIN 10.160.200.in-addr.arpa. $TTL 86400 @ IN SOA ... NS NS NS NS ns1.paul.beatles.br. ns2.paul.beatles.br. ns1.cliente.exemplo.com.br. ns2.cliente.exemplo.com.br.

IN IN 0/28 IN 0/28 IN

RFC 2317

$GENERATE 1-14 $ CNAME $.0/28 ; Apenas no BIND 16 IN PTR paul.beatles.br.

Arquivo de zona 200.160.10.0/28

$ORIGIN 0/28.10.160.200.in-addr.arpa. $TTL 86400 @ IN SOA ... IN NS IN NS ns1.cliente.exemplo.com.br. ns2.cliente.exemplo.com.br.

1 IN PTR www.cliente.exemplo.com.br. ... 14 IN PTR email.cliente.exemplo.com.br.

2001:12FF::/32

2001:12FF::/32 f.f.2.1.1.0.0.2.ip6.arpa.

.
com ip6 2 0 0 1 arpa br in-addr

.
com ip6 2 0 0 1 arpa br in-addr

1 2 f f

Arquivo de zona 2001:12ff::/32

$ORIGIN f.f.2.1.1.0.0.2.ip6.arpa. $TTL 86400 @ IN SOA ns1.beatles.br. 2013120500 ; 1800 ; 900 ; 604800 ; 900 ) ; IN NS ns1.beatles.br. IN NS ns2.beatles.br.
$ORIGIN 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.f.f.2.1.1.0.0.2.ip6.arpa.

email.beatles.br. ( version refresh (30 minutes) retry (15 minutes) expire (1 week) minimum (15 minutes)

1 IN PTR beatles.br. ...

Arquivo de zona 2001:12ff::/32

Criar records PTR para todo o reverso invivel (/32 = 296 hosts) Crie records PTR somente hosts com IPs estticos (roteadores, servidores DNS, servidores de e-mail, etc.)

Regras IPv6
Delegaes somente at o /48 Designaes de blocos menores que /48 devem ter uma delegao cobrindo Designaes dentro do bit boundary de uma delegao ocasiona na subdiviso da delegao

Regras IPv6
Bloco /30 Delegao /30

Regras IPv6
Bloco /30 Delegao /31 Delegao /32

Bloco /32

Dicas IPv6
dig -x 2001:12ff::1 +noauthority +noadditional
; <<>> DiG 9.8.5-P1 <<>> -x 2001:12ff::1 +noauthority +noadditional ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 21528 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 5, ADDITIONAL: 8 ;; QUESTION SECTION: ;1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.f.f.2.1.1.0.0.2.ip6.arpa. IN PTR ;; ANSWER SECTION: 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.f.f.2.1.1.0.0.2.ip6.arpa. 86360 IN PTR beatles.br. ...

Dicas IPv6
Geradores de arquivo de zona:
http://rdns6.com http://zytrax.com/books/dns/ch3/#ipv6-tool

Testando
Consulte os IPs 200.160.1.200 (DHCP) 200.160.10.1 (/28) 2001:fffe::1 (IPv6) Nos servidores DNS
* Firewall liberado somente para os IPs do GTER36 durante a durao do evento ** Alguns nomes foram substitudos para o teste dado que o nome beatles.br no pode ser utilizado

ns1.rafael.net.br. ns2.rafael.net.br.

Obrigado!

rafael@registro.br